Ağımı nasıl yarıya indirdim?


11

Etkinlik sonrası bazı tavsiyeler arıyorum, bu yüzden bu etkinlik bir daha gerçekleşmeyecek.

VSS yedekliliği için yapılandırılmış iki Cisco 4500x anahtarından oluşan bir ağ çekirdeğimiz var. Bunlardan, iSCSI cihazlarımız, vSphere için HP bladecenter'ımız ve kullanıcı erişim anahtarlarımıza toplu bağlantılar ve sunucu odamızdaki bakır cihazlar için bir çift 4948e anahtarı var. 4948'lerde iki ISP bağlantısı için bir çift 2960 anahtarımız ve güvenlik duvarı olarak bir çift ASA var. 4948e'ye bağlanan birçok cihaz haricinde oldukça iyi bir artıklık sadece tek NIC'lere sahiptir - sadece yapabileceğimiz çok şey var.

Mevcut kullanıcı erişim anahtarlarımızı (eski Ekstremler) Meraki ile değiştirmeye hazırlanıyoruz. Mevcut Aruba'larımızın yerine Meraki AP'leri de uyguluyoruz. Kablosuz projesinin bir kısmı, AP yönetimi ve misafir kablosuz için bazı yeni VLAN'lar ve alt ağlar yapmayı içerir.

4500x üzerinde hiçbir yerde kullanılmayan iki tanımlı VLAN'ımız (20 ve 40) vardı - alt ağların boş olduğunu, bunları kullanan bağlantı noktalarının vb olmadığını doğruladık. 4500x'e girdim ve " no interface vlan 20" yayınladım ve sonra alt ağla yeniden oluşturdum İstedim. Daha sonra Meraki'ye bağlı iki 10Gb bağlantı noktasına ekledim

switchport trunk allowed <previous list plus two VLANs above plus existing wireless VLAN>

20 ve 40 VLAN'ların kapatıldığını fark ettim, bu yüzden no shutdownonlara verdim . O noktada Merakis'e erişimi kaybettim, bu yüzden VLAN'ları bu bağlantı için port kanalı arayüzüne eklemediğimi fark ettim.

Çevremizin yarısına bu noktada ulaşılamaz oldu

İnternet bağlantımız son derece kesişti. Avaya VoIP telefonlarımız içeri veya dışarı arama yapamadı. Kullanılamayan bakır bağlantılı bir çift iSCSI cihazımız var - kullanıcının karşılaştığı herhangi bir şey için kesinti yok, ancak yedeklemelerimiz ve posta arşivimiz etkilendi. Sunucu odasına gittim ve bir şekilde bir döngü oluşturduğumda Merakis'i 4500x'ten (her iki 10Gb fiber portunu da çıkardı) ayırdım - değişiklik yok. Bu noktada bir süreliğine buna bakmayı itiraf ediyorum.

Orion'u kaldırdım ve harici anahtarlarımızdan birinin (Cat2960) ve ASA çiftimizden birinin de düşük olduğunu fark ettim. Bir çeşit kısmi LAN bağlantı kaybı yaşadığımız açıkça görülüyor, ancak ASA çifti de birbiriyle çapraz bağlı ve bağlı bağlantıları düşmedi, bu nedenle dahili cihazlarımızın erişebildikleri şeyleri yerine getirmediler. ASA'yı kapattım ve internete tekrar ulaşılabilir hale geldi.

TAC'ı aradım ve 4500x'de her bir aşağı konulmuş ana bilgisayar için her bağlantı noktası yapılandırmasını nitpike tutan teknoloji ile güreştikten birkaç saat sonra, 4948e anahtarlarımızdan birine giriş yaptım ve bir şeylere nasıl ping atamadığını gösterdim doğrudan bağlı ve yukarıya bağlı - Windows tabanlı bakır iSCSI cihazlarımızdan biri, bladecenter'ımızdaki bir iLO arayüzü vb.

Günlükleri incelemişti ve hiçbir şey bulamamıştı, ama bu noktada "Günlüklerde görmesem bile bir yayılan ağaç böceğine benziyor" dedi, bu yüzden 4948e'yi ve tüm doğrudan bağlı ana bilgisayarlar geri geldi - Avaya kabini de dahil, böylece telefonlarımız tekrar çalışmaya başladı. 4500x fiber bağlantılı cihazlarda hala sorunlarımız vardı - ölü yollar, hepsi gereksizdi. O, nezaketsiz bir şekilde güç döngüsü yapmak istedi, ancak bu 10 Gbit iSCSI'mizin hepsine sahip ve bu vSphere ortamımızın (aslında tüm sunucularımız) kötü bir hafta geçirmesini sağlayacaktı. Onunla, kalan problemlerle ilgilenen zarif bir artıklık geçişi yapmakla konuştum.

TL; DR: Çekirdekimizde oldukça zararsız bir değişiklik yaptım ve iğrenç bir soruna neden oldum. Buna neden olması öngörülen bir yapılandırma hatası mı yaptım - örneğin, önce VLAN'ları kapatmam ve bunları portchannel'e ve sonra portlara ekleseydim, bundan kaçınılabilir miydi? Cisco teknolojisi bunu söylemedi; bir yıldan uzun süren çalışma süreleri ve eski IOS sürümleriyle, bunun gibi durumların şaşırtıcı olmadığını söyledi.

4500x: Cisco IOS Yazılımı, IOS-XE Yazılımı, Catalyst 4500 L3 Anahtar Yazılımı (cat4500e-UNIVERSALK9-M), Sürüm 03.04.05.SG SÜRÜM YAZILIMI (fc1) ROM: 15.0 (1r) SG10

4948e: Cisco IOS Yazılımı, Catalyst 4500 L3 Anahtar Yazılımı (cat4500e-IPBASEK9-M), Sürüm 15.0 (2) SG10, RELEASE SOFTWARE (fc1) ROM: 12,2 (44r) SG11

Yanıtlar:


5

Bir yayın fırtınası yaratmışsınız gibi duruyor ve onu durdurmanın tek yolu anahtarları kapatmaktır. Bunu birkaç kez yaşadıktan sonra, Cisco tarafından önerilen en iyi uygulamaları kabul ettik:

  • Yalnızca tek bir erişim anahtarına kadar uzanan bir VLAN'ınız olmalıdır. Bir erişim anahtarında istediğiniz kadar VLAN'a sahip olabilirsiniz, ancak herhangi bir erişim anahtarındaki VLAN'ların başka bir erişim anahtarına değil, yalnızca dağıtım anahtarına bağlanması gerekir. switchport trunk allowed vlan Komut ile bir gövdedeki diğer tüm VLAN'ları el ile devre dışı bırakarak bunu zorlayın .
  • Bir dağıtım anahtarının üzerinde herhangi bir erişim arabirimi olmamalı, yalnızca dağıtım trunk arabirimleri olmalıdır.
  • VTP kullanmayın (tüm anahtarları transparentmoda ayarlayın).
  • Erişim arayüzlerinizde olması portfastve bpduguard etkinleştirilmesi gerekir . Bunları tüm erişim arabirimleriniz için küresel olarak etkinleştirebilirsiniz ve bagaj arabirimleriniz bundan etkilenmeyecektir. Bir erişim arabirimine yanlışlıkla bir anahtar bağlarsanız, bu arabirimin içeri girmesine err-diableve STP döngülerinin önlenmesine neden olur .
  • Bir erişim anahtarını başka bir erişim anahtarına bağlamayın. Erişim anahtarlarını yalnızca dağıtım anahtarlarını ve yalnızca devre arabirimlerinde bağlayın.

Bu en iyi uygulamalar neredeyse tüm STP sorunlarını önleyecek ve tek bir erişim anahtarında meydana gelen sorunları yalıtacaktır.


2
Ah evet. Bir gün, yeterli paraya sahip bir ağ üzerinde çalışmayı, "garip" (yani L2) uygulamaları, uysal kullanıcı topluluğunu ve önerilen tüm iyi niyetli uygulamaları takip etmek için yeterli yönetim desteğini kullanmayı umuyorum. Bir gün.
Ron Trunk

1. VLAN'lar ve erişim anahtarları hakkında ilk öneri, anladığımdan emin değilim.
mfinni

2. Bizim "dağıtım" muhtemelen çoğunlukla gövdeleri olan ama bazı iSCSI fiber bağlantıları olan 4500x'imizdir.
mfinni

3. VTP kaçının - dikkate alacak, bugün bir şey "şeffaf" olduğunu düşünmeyin
mfinni

4. portfast ve bdpuguard - bu öneriyi de inceleyecek
mfinni

3

Ron Maupin'in yukarıdaki mükemmel tavsiyesine ek olarak, bu süreçte yaptığım büyük bir hata hakkında Cisco'nun forumunda birkaç yazı da buldum. VLAN'ları ilk olarak fiziksel bağlantı noktası arabirimlerine ekledim, üyesi oldukları bağlantı noktası kanalı arabirimini değil. İkincisi bunu yapmanın uygun yoludur ve soruna neden olmuş olabilirim.


2
Üye arabirimleri çalışmıyorsa, bunu yaptığınız gibi yapabilirsiniz. Genel olarak, üye arabirimlerinin indirilmesini istediğim, bağlantı noktası kanalı da dahil olmak üzere tüm yapılandırmayı yaptığımı buldum, sonra, istediğim gibi olduğunda, bir şeyleri ortaya çıkarın.
Ron Maupin
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.